組織需要一種新方法來應(yīng)對混合云安全挑戰(zhàn)
混合云計算使組織能夠在內(nèi)部、私有云或公共云中隔離其資源和工作負(fù)載。但是,盡管有很多好處,混合環(huán)境也會產(chǎn)生安全問題。
AlgoSec 的聯(lián)合創(chuàng)始人兼首席技術(shù)官 Avishai Wool 教授分享了他對其中一些問題的專家見解,并提供了提高混合云安全性的最佳實踐。
混合云計算
混合云計算結(jié)合了本地基礎(chǔ)設(shè)施、私有云服務(wù)和一個或多個公共云。
走向混合為企業(yè)提供增強(qiáng)的靈活性、敏捷性、成本節(jié)約和可擴(kuò)展性,以創(chuàng)新、發(fā)展和獲得競爭優(yōu)勢。那么,如何簡化和加強(qiáng)混合云中的安全操作呢?
一切從可見性開始——你無法保護(hù)你看不到的東西
安全團(tuán)隊需要知道這些資產(chǎn)是什么以及它們位于何處,以保護(hù)他們的整個混合基礎(chǔ)架構(gòu)、應(yīng)用程序、工作負(fù)載和數(shù)據(jù)。他們還需要看到整個混合產(chǎn)業(yè),而不僅僅是單個元素。
但是,完全可見性是一項嚴(yán)峻的混合云安全挑戰(zhàn)?;旌檄h(huán)境非常復(fù)雜,可能會產(chǎn)生安全盲點,從而阻止團(tuán)隊識別、評估以及最重要的是降低風(fēng)險。
沒有零散的安全方法
另一個混合云安全問題是您無法實施分散的安全方法來控制整個網(wǎng)絡(luò)。
隨著成千上萬的集成和相互依賴的資源和數(shù)據(jù)在它們之間流動,漏洞突然出現(xiàn),增加了網(wǎng)絡(luò)攻擊或違規(guī)的風(fēng)險。要獲得完整的混合云安全性,您需要一種可以幫助您控制整個網(wǎng)絡(luò)的整體方法。
DevSecOps 是靈丹妙藥嗎?不完全的
在許多組織中,DevSecOps 團(tuán)隊管理云安全,因為他們可以看到云內(nèi)部發(fā)生的事情。但是,在混合云中,許多應(yīng)用程序在云之外都有服務(wù)器或客戶端,而 DevSecOps 可能無法看到這些。
此外,保護(hù)流入和流出云的數(shù)據(jù)并不總是在他們的職權(quán)范圍內(nèi)。其他團(tuán)隊需要管理安全操作并最大限度地減少混合云風(fēng)險以彌補(bǔ)這些差距。必須協(xié)調(diào)這些額外的流程和團(tuán)隊成員,以確保整個混合網(wǎng)絡(luò)環(huán)境的持續(xù)安全。但這說起來容易做起來難。
基于 IaC 的安全性
使用 IaC 平衡自動化與監(jiān)督是關(guān)鍵,但您不應(yīng)僅依賴它基礎(chǔ)架構(gòu)即代碼 (IaC) 將幫助您在混合云中自動部署安全控制,以防止在混合云中出現(xiàn)錯誤配置錯誤、不合規(guī)和違規(guī)行為生產(chǎn)階段和應(yīng)用前測試。
借助基于 IaC 的安全性,您可以在模板文件中定義安全最佳實踐,這將最大限度地降低風(fēng)險并增強(qiáng)您的安全狀況。但是,將所有雞蛋放入自動化和 IaC 籃子中存在固有風(fēng)險。
混合云問題
由于所有控制都在操作方面,因此可能會產(chǎn)生嚴(yán)重的混合云安全問題。如果沒有人類的關(guān)注和行動,漏洞可能仍未得到解決,并為網(wǎng)絡(luò)攻擊打開了大門。由于不在運營方面的安全專業(yè)人員必須監(jiān)督云環(huán)境,因此很容易為溝通不暢和人為錯誤打開大門,這對組織來說是一個非常昂貴的提議。
出于這個原因,您還應(yīng)該實施一個流程來定期部署自動更新,而無需耗時的審批,這會減慢工作流程并削弱安全性。力爭實現(xiàn) 95% 的自動化更改,剩下的 5% 需要人工輸入。
混合云安全最佳實踐——盡早開始,強(qiáng)勢開始
從本地遷移到云端時,您可以選擇全新遷移或直接遷移。綠地意味著推出全新的應(yīng)用程序。在這種情況下,請確保從一開始并在所有流程中“考慮”安全性考慮。
這種“左移”方法有助于構(gòu)建從一開始就安全的環(huán)境。這可確保所有團(tuán)隊成員都遵守一套統(tǒng)一的安全策略規(guī)則,以最大限度地減少混合云環(huán)境中的漏洞并降低安全風(fēng)險。
遷移計劃測量
如果您將本地應(yīng)用程序提升并轉(zhuǎn)移到云端,請注意在設(shè)計它們時所做的任何安全假設(shè)。這很重要,因為它們不是為云構(gòu)建的,并且可能包含增加安全風(fēng)險的協(xié)議。
接下來,在遷移規(guī)劃期間實施適當(dāng)?shù)拇胧@?,如果?yīng)用程序利用純文本協(xié)議,則實施應(yīng)用程序負(fù)載均衡器,并使用邊車加密應(yīng)用程序而無需修改原始代碼庫。您還可以利用混合云安全解決方案實時檢測和緩解安全問題。
將云安全與應(yīng)用程序結(jié)構(gòu)相匹配不再是可選的
在遷移到混合云之前,將業(yè)務(wù)邏輯、應(yīng)用程序結(jié)構(gòu)和應(yīng)用程序所有權(quán)映射到混合云資產(chǎn)的網(wǎng)絡(luò)結(jié)構(gòu)中。為了簡化這個過程,這里有一些經(jīng)過驗證的方法可以考慮。
- 將您的環(huán)境分解為虛擬私有云 (VPC) 或虛擬網(wǎng)絡(luò)。使用 VPC,您可以監(jiān)控連接、屏蔽流量、創(chuàng)建多個子網(wǎng)并限制實例訪問以改善安全狀況。
- 使用網(wǎng)絡(luò)結(jié)構(gòu)將應(yīng)用程序隔離到云中的不同功能和網(wǎng)絡(luò)區(qū)域。這樣,您可以部署網(wǎng)絡(luò)控制來分割您的云資產(chǎn),并確保只有授權(quán)用戶才能訪問敏感數(shù)據(jù)和資源。
- 根據(jù)其操作系統(tǒng)、業(yè)務(wù)部門和地理區(qū)域標(biāo)記所有資源。帶有描述性元數(shù)據(jù)的標(biāo)簽有助于識別資源。他們還建立所有權(quán)和責(zé)任制,提供對云消費的可見性,并幫助部署安全策略。
結(jié)論
在當(dāng)今快節(jié)奏的商業(yè)環(huán)境中,混合云計算可以通過多種方式使您的組織受益。但要獲得這些好處,您應(yīng)該努力提高混合云的安全性。
結(jié)合此處討論的最佳實踐來提高安全性并充分利用您的混合環(huán)境。
- 上一篇
多因素身份驗證疲勞攻擊:如何保護(hù)您的用戶?
多年來,企業(yè)一直面臨數(shù)據(jù)泄露和賬戶接管事件。其中大多數(shù)是憑據(jù)受損的結(jié)果。越來越多的憑據(jù)和弱密碼實例促使組織將多因素身份驗證 (MFA) 整合到其平臺中,從而增加了額外的安全層。然而,在過去的幾年里,網(wǎng)絡(luò)犯罪分子發(fā)現(xiàn)了當(dāng)前 MFA 安全實踐中的漏洞...
- 下一篇
為什么低代碼/無代碼應(yīng)用程序開發(fā)具有固有的安全風(fēng)險
許多組織現(xiàn)在依靠低代碼/無代碼應(yīng)用程序開發(fā)平臺來經(jīng)濟(jì)高效地滿足業(yè)務(wù)運營不同方面的各種應(yīng)用程序需求。最近的一項調(diào)查顯示,47% 的組織已經(jīng)在使用這些技術(shù),而沒有使用這些技